Na decisão no caso C-446/21 (Schrems v. Meta), o Tribunal de Justiça da União Europeia (TJUE) apoiou integralmente a ação judicial movida contra a Meta relativa ao serviço Facebook. O Tribunal decidiu sobre duas questões principais: primeiro, a limitação massiva do uso de dados pessoais para publicidade online; segundo, a restrição do uso de dados pessoais disponíveis publicamente aos fins originalmente previstos para a sua publicação.

Primeira questão: O uso de dados para publicidade deve ser “minimizado”. Até agora, a Meta utilizava todos os dados pessoais recolhidos ao longo dos anos para fins publicitários. Por exemplo, os dados dos utilizadores do Facebook podem remontar a 2004, incluindo informações fornecidas pelo próprio utilizador, por terceiros, ou recolhidas através de rastreamento online ou em aplicações móveis. Para evitar estas práticas, o RGPD estabelece o princípio da “minimização de dados” no artigo 5.º, n.º 1, alínea c), exigindo que o tratamento seja limitado aos dados estritamente necessários. Até agora, a Meta e muitas outras empresas do setor de publicidade online ignoraram esta regra, não estabelecendo períodos de eliminação nem limitações baseadas no tipo de dados pessoais. A aplicação do princípio da minimização de dados restringe radicalmente o uso de dados pessoais para publicidade. Este princípio aplica-se independentemente da base legal usada para o tratamento, o que significa que mesmo um utilizador que consinta publicidade personalizada não pode ver os seus dados pessoais utilizados indefinidamente. Como é prática comum do TJUE, os detalhes sobre a implementação do princípio de minimização de dados foram deixados aos tribunais nacionais.

Katharina Raabe-Stuppnig, advogada que representa o Sr. Schrems, declarou: “A Meta tem construído essencialmente um enorme banco de dados de utilizadores ao longo de 20 anos, e ele cresce diariamente. No entanto, a legislação da UE exige ‘minimização de dados’. Com esta decisão, apenas uma pequena parte dos dados acumulados pela Meta poderá ser utilizada para publicidade – mesmo com o consentimento dos utilizadores. Esta decisão também se aplica a qualquer outra empresa de publicidade online que não tenha práticas rigorosas de eliminação de dados.”

Segunda questão: A crítica pública não autoriza o tratamento. Nos termos do artigo 9.º, n.º 2, alínea e), do RGPD, as informações “manifestamente tornadas públicas” podem ser tratadas por uma empresa, presumindo-se que o titular dos dados concordou com o uso. O Sr. Schrems argumentou que os seus comentários públicos foram feitos anos depois de outros dados terem sido tratados e que estes comentários posteriores não podem ser interpretados como um acordo para o tratamento de informações anteriores. Outros intervenientes no processo também questionaram se a simples menção de um facto durante uma discussão pública seria suficiente para tornar tal informação “manifestamente pública”.

Katharina Raabe-Stuppnig acrescentou: “Teria um efeito altamente negativo sobre a liberdade de expressão se alguém perdesse o direito à proteção de dados no momento em que criticasse publicamente o tratamento ilícito de dados pessoais. Saudamos o facto de o TJUE ter rejeitado esta ideia.”

Contexto Histórico:

Este caso diz respeito a um processo civil entre Max Schrems, como indivíduo, e a Meta Platforms Ireland Limited (operadora do “Facebook”) perante os tribunais austríacos. O caso foi inicialmente apresentado em 2014 e ouvido integralmente na Áustria em 2020, abordando numerosas violações do RGPD, incluindo a falta de uma base legal para publicidade. O Supremo Tribunal da Áustria remeteu quatro questões ao TJUE em 2021. Contudo, como outro caso (C-252/21 Bundeskartellamt) tratava parcialmente de questões semelhantes, o TJUE “suspendeu” o processo entre Schrems e a Meta até 2024. As questões 1 e 3 foram (indiretamente) “ganhas” porque o TJUE concordou com o ponto de vista de Schrems no caso C-252/21 Bundeskartellamt. As questões restantes foram analisadas em 8 de fevereiro de 2024, em Luxemburgo, limitando-se às questões 2 e 4, que ainda não tinham sido decididas no caso anterior.

Questões Originais:

• Questão 2: O artigo 5.º, n.º 1, alínea c), do RGPD (minimização de dados) deve ser interpretado como significando que todos os dados pessoais detidos por uma plataforma, como a referida no processo principal (provenientes, em particular, do titular dos dados ou de terceiros, dentro ou fora da plataforma), podem ser agregados, analisados e tratados para fins de publicidade direcionada, sem restrição quanto ao tempo ou tipo de dados?
• Questão 4: O artigo 5.º, n.º 1, alínea b), do RGPD, lido em conjunto com o artigo 9.º, n.º 2, alínea e), deve ser interpretado como significando que uma declaração feita por uma pessoa sobre a sua orientação sexual, para fins de um painel de discussão, permite o tratamento de outros dados relativos à orientação sexual (e até à vida sexual, que é protegida separadamente pelo artigo 9.º do RGPD) com vista à agregação e análise dos dados para fins de publicidade personalizada?

Conclusão:
A decisão do TJUE reforça a proteção dos dados pessoais dos utilizadores contra práticas abusivas, estabelecendo limites claros para o tratamento de dados para fins publicitários e para a utilização de dados tornados públicos. Este julgamento não apenas afeta a Meta, mas estabelece um precedente importante para outras empresas que operam no espaço da publicidade digital.

Artigo original: CJEU: Meta must “minimise” use of personal data for ads